簡介
I-Worm/Supkp.ac
病毒長度:143,360 位元組
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me
I-Worm/Supkp.ac用VC++編寫經ASPack壓縮的群發郵件蠕蟲病毒,傳送自身到所有的郵件地址,利用DCOM RPC漏洞進行傳播。
特徵
傳播過程及特徵:
1.複製自身為:
%Windir%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
2.創建檔案:
%System%\ODBC16.dll --- 53,248 位元組
%System%\msjdbc11.dll --- 53,248 位元組
%System%\MSSIGN30.DLL --- 53,248 位元組
%System%\LMMIB20.DLL --- 53,248 位元組
%Windir%\suchost.exe --- 49,152 位元組
%System%\NetMeeting.exe --- 61,440 位元組
3.NetMeeting.exe檔案運行有如下操作:
/複製自身為%System%\spollsv.exe
/修改註冊表:
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"Shell Extension" = "%system%\spollsv.exe"
/試圖在有DCOM RPC漏洞的機器的系統目錄下創建檔案a,a為一個FTP腳本檔案用於獲取感染系統里的hxdef.exe.
/可能在系統目錄下生成檔案:results.txt ,win2k.txt ,winxp.txt
4.在所有驅動器的根目錄下(除光碟機外)生成檔案AUTORUN.INF,並複製自身為command.exe。
5.修改註冊表:
在註冊表啟動項下添加鍵值
【HKEY_CLASSES_ROOT\txtfile\shell\open\command】
"(Default)"="vptray.exe %1"
【HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command】
"(Default)"="vptray.exe %1"
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"WinHelp"="%system%\realsched.exe"
"Hardware Profile"="%system%\hxdef.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices】
"SystemTra"="%Windor%\SysTra.EXE"
"COM++ System"="suchost.exe"
生成子鍵
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1】
6.Windows 95.98/Me系統下,修改Win.ini檔案
【windows】欄位 run=%System%\RAVMOND.exe
Windows NT/2000/XP系統下,修改註冊表,添加鍵值:
【HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows】
"run"="RAVMOND.exe"
7.結束包含下列字元串的進程(涵括了江民、毒霸、瑞星、天網、諾頓、KILL、McAfee等防毒及防火牆軟體):
KV KAV Duba NAV kill RavMon.exe Rfw.exe Gate McAfee Symantec SkyNet rising
8.任意選擇連線埠開後門,收集感染計算機的系統信息並保存為檔案C:\Netlog.txt,蠕蟲會將此信息傳送給攻擊者。
9.複製自身到網路已分享資料夾及其子資料夾,檔案名稱如下:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
10.試圖用內置的密碼庫以管理員的身份登入區域網路里的所有計算機,一旦成功便複製自身並啟動服務( "Windows Management NetWork Service Extensions.")。
\\<目標計算機名>\admin$\system32\NetManager.exe
11.可以通過OutLook和自身內置的SMTP程式傳送帶毒郵件。通過OutLook傳送的郵件是直接回復信箱中已有的信件,欺騙性較高。通過自帶的SMTP程式發現郵件的附屬檔案名可能是:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
12.創建網路已分享檔案夾: %Windir%\Media
13.遍歷從C到Y所有硬碟下的下列類型檔案:
.htm .sht .php .asp .dbx .tbb .adb .wab
14.通過用suchost.exe覆蓋原檔案或者附加原始的蠕蟲檔案來感染.exe檔案。
